Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la riflessione

Dal progetto al processo: i 5 errori che bloccano la sicurezza

Home Cultura cyber
Partecipa al dibattito
Indirizzo copiato

Governare il passaggio da progetto a processo significa gestire persone, ruoli, responsabilità e il cambiamento culturale che ne consegue. Ecco gli errori e le pratiche per passare dal “fare” al “funzionare”

Pubblicato il 7 apr 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Governance dei dati; Dal progetto al processo: il passaggio che decide il successo o il fallimento della sicurezza
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Ogni iniziativa di sicurezza informatica nasce con entusiasmo, promesse e aspettative. Il tempo, però, è spietato: ciò che oggi brilla come innovazione rischia di spegnersi, lasciando solo procedure dimenticate e strumenti mai più aggiornati.

Il vero banco di prova non è l’avvio del progetto, ma la sua capacità di trasformarsi in un processo vivo, capace di crescere e adattarsi.

Questo secondo capitolo della trilogia è un viaggio dentro quella zona critica in cui si decide se la sicurezza diventerà un presidio reale o se resterà una parentesi costosa.

Ecco gli errori da evitare e le pratiche da coltivare per passare dal “fare” al “funzionare”.

L’ecosistema della resilienza: come trasformare la sicurezza da eccezione a norma

Il confine tra successo e fallimento

Nel primo capitolo di questa trilogia abbiamo imparato a riconoscere le due anime della sicurezza: il progetto, che porta il nuovo, e il processo, che lo rende stabile.
Oggi ci spostiamo in un territorio ancora più delicato: quello del passaggio di consegne. È qui che si gioca la partita vera.

Alcune organizzazioni non falliscono nella progettazione né nell’acquisto di tecnologie ma nell’incapacità di farle vivere nel tempo.

È un momento sottile: il team del progetto si scioglie, la documentazione finisce in un archivio, le competenze si disperdono e ciò che doveva essere un punto di svolta diventa soltanto un ricordo.

Il problema è che questa transizione viene ancora vista come un evento tecnico, quando in realtà è un atto di leadership.

Governare il passaggio da progetto a processo significa gestire persone, ruoli, responsabilità e, soprattutto, il cambiamento culturale che ne consegue.

I 5 errori che bloccano la sicurezza prima che cresca

La sicurezza, soprattutto quella informatica, è come una pianta giovane: ha bisogno di cure costanti, di attenzione e di un terreno adatto.

Eppure, molte iniziative muoiono prima ancora di mettere radici, soffocate da errori che nascono spesso da una visione distorta del rapporto tra progetto e processo.

Primo errore

Il primo errore consiste nel non riconoscere la differenza tra ciò che è temporaneo e ciò che è permanente. Un progetto vive di elasticità, decisioni rapide, capacità di reagire all’imprevisto.

È un contesto dove le regole si adattano per consentire di sperimentare.
Un processo, invece, respira stabilità, continuità, procedure collaudate.

Trattare un progetto come se fosse già un processo significa soffocarlo sotto la burocrazia, rallentarlo fino a bloccarlo.

Anche il contrario è altrettanto dannoso: gestire un processo come se fosse un progetto lo condanna all’improvvisazione, lo priva della solidità che lo rende affidabile. In entrambi i casi, si tradisce la natura delle cose.

Il secondo errore

Consiste nel combattere il rischio sbagliato. Nei progetti, i rischi sono per lo più ignoti: si esplora un territorio nuovo, si naviga in acque dove le mappe non sono complete.

Nei processi, invece, i rischi sono perlopiù noti e richiedono un approccio disciplinato, fatto di prevenzione e contenimento.

Confondere queste due situazioni è come usare un bisturi per tagliare legna o una motosega per operare un paziente: lo strumento può essere eccellente, ma, se è usato nel contesto sbagliato, diventa causa di danno e non di protezione.

Terzo errore

Il terzo errore consiste nel costruire senza governare.

In alcune organizzazioni può capitare che i progetti vengano avviati senza un chiaro assetto di governance.

Nessuno ha definito chi decide le priorità, chi ha l’ultima parola sugli investimenti, chi è responsabile di monitorare i risultati.

Un progetto senza guida è come una nave in balia delle correnti: può anche partire con il vento in poppa ma prima o poi finirà fuori rotta.

Anche un processo lasciato senza supervisione non implode di colpo: si deteriora lentamente, perde rilevanza, si svuota di senso fino a diventare solo un insieme di azioni meccaniche.

Quarto errore

L’errore numero 4 consiste nel credere che il go live sia la fine del viaggio.
Il momento in cui una nuova soluzione entra in produzione non è un traguardo ma una linea di partenza.

È lì che comincia la sfida vera: trasformare il lavoro di mesi in routine stabile, definire procedure, formare il personale, attivare controlli, mettere in moto sistemi di feedback.

Chi non pianifica questa fase lascia che l’innovazione evapori, trasformando un successo iniziale in un’occasione sprecata.

Quinto errore

Infine, c’è il quinto errore, quello più silenzioso e insidioso: spegnere la spinta al miglioramento.

Un processo che non si evolve non è stabile: è fermo e nella sicurezza, la staticità è una forma di regressione.

L’inerzia interna, quella che si nasconde dietro frasi del tipo “abbiamo sempre fatto così”, è spesso più pericolosa di qualunque attacco esterno.

È un nemico invisibile, che corrode dall’interno e priva l’organizzazione della capacità di adattarsi alle nuove minacce.

Ogni volta che questi errori si ripetono, la sicurezza perde terreno. Evitarli non è questione di fortuna, ma di consapevolezza e di disciplina nel guidare il passaggio fondamentale dal progetto al processo, proteggendo ciò che si è costruito e mantenendolo vivo nel tempo.

Le pratiche che tengono in vita la sicurezza

Ogni iniziativa di sicurezza, per sopravvivere e crescere, deve essere avviata come risposta ad una domanda semplice ma decisiva: che cosa stiamo avviando, un progetto o un processo?

Questa chiarezza iniziale non è un dettaglio formale, ma l’indicatore che orienta ogni decisione successiva.

La natura dell’iniziativa determina infatti l’approccio da adottare, le risorse da mettere in campo, le tempistiche da rispettare e persino il modo in cui verranno misurati i risultati.

Senza questa consapevolezza, si rischia di costruire su fondamenta fragili, destinate a cedere al primo scossone.

Ma la chiarezza non basta se il pensiero si ferma al presente.

Gli indicatori di performance non bastano

Ogni progetto dovrebbe nascere già con un’ombra proiettata verso il futuro, immaginando come diventerà una volta entrato a regime.

Questo significa disegnare sin dall’inizio la sua forma operativa, prevedere quali competenze serviranno per gestirlo, stabilire flussi di comunicazione stabili, assegnare responsabilità precise.

Un progetto pensato solo per “arrivare in fondo” senza pianificare il dopo è come una nave varata senza timone: può salpare, ma non arriverà lontano.

C’è poi una verità che chi lavora nella sicurezza conosce bene: nessun sistema, per quanto ben progettato, rimane efficace se non viene monitorato e adattato nel tempo.

Impostare indicatori di performance è un buon inizio ma non basta.

Quei dati devono essere letti, interpretati e utilizzati per correggere la rotta in tempo reale. È la capacità di reagire velocemente ai segnali, anche deboli, che distingue un presidio robusto da uno destinato a fallire.

La cultura organizzativa della sicurezza

La sicurezza vive di cultura organizzativa. Non può essere intesa come un insieme di strumenti, regole o procedure scritte in un manuale perchè è un organismo vivo, che va nutrito e messo alla prova.

La cultura del miglioramento continuo, quella che accoglie il feedback e non teme di rivedere procedure già consolidate, è l’unica difesa contro l’obsolescenza.

Senza questa attitudine, anche il sistema più avanzato si trasforma presto in un guscio vuoto.

Il vero successo di un’iniziativa di sicurezza non si celebra il giorno del go live, ma si misura anni dopo, quando quel presidio è ancora lì: solido, aggiornato, rispettato da chi lo usa e riconosciuto come parte naturale del funzionamento dell’organizzazione.

È in quel momento che si può dire di aver costruito qualcosa che conta davvero.

Il passaggio dal progetto al processo nella sicurezza

Il vero successo di un’iniziativa di sicurezza, quindi, non si misura al momento del go live, ma, anni dopo, quando ciò che è stato costruito continua a funzionare, a essere rispettato e a proteggere davvero l’organizzazione.

Il passaggio dal progetto al processo è il momento in cui si decide se la sicurezza resterà un episodio o diventerà parte del DNA aziendale.

Nel prossimo articolo affronteremo da vicino gli errori che possono far naufragare un progetto di sicurezza e i segnali che indicano quando un processo sta perdendo efficacia.

Un percorso pratico per riconoscerli in tempo e trasformare ogni iniziativa in un presidio solido e duraturo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

0
Lascia un commento, la tua opinione conta.x